Das Wichtigste zum Datenschutz-Gutachten in Kürze
- Ein Datenschutz-Gutachten dient der Prüfung, ob in einer datenverarbeitenden Stelle die Datenschutz-Bestimmungen eingehalten werden.
- Es gibt verschiedene Formen der Begutachtung, einige sind gesetzlich verpflichtend, etwa bei bestimmten Kategorien von verarbeiteten Daten, andere sind freiwillig.
- Ein positives Datenschutz-Gutachten kann auch dem Zwecke einer Zertifizierung dienen.
Datenschutz-Gutachten: Werden Daten ausreichend geschützt?
Inhaltsverzeichnis
Ein Datenschutz-Gutachten überprüft, ob ein Unternehmen oder eine öffentliche Stelle die geltenden Regelungen zum Datenschutz einhält. Ein solches kann von ganz unterschiedlichem Umfang sein, je nachdem was genau einer Prüfung unterzogen werden soll. Möglich sind zum Beispiel:
- einzelne Produkte
- einzelne Abläufe/Verfahren
- die gesamte Institution
„Datenschutz-Gutachten“ ist weder ein geschützter Begriff noch wird darunter immer dasselbe verstanden. Welche verschiedenen Formen hierunter fallen können, soll im Folgenden vorgestellt werden.
Vorabkontrolle (§ 4d Absatz 5 BDSG)
Das Bundesdatenschutzgesetz (BDSG) sieht eine sogenannte Vorabkontrolle für automatisierte Verfahren vor. Das heißt, dass in bestimmten Fällen vor der Einführung von Verfahren zur automatisierten Verarbeitung personenbezogener Daten zunächst ein Datenschutz-Gutachten erstellt werden muss.
Dieses soll prüfen, ob sich durch diese Form der Datenverarbeitung Risiken für die Rechte und Freiheiten derjenigen Personen ergeben, deren Daten betroffen sind.
Das Datenschutz-Gutachten als Vorabkontrolle muss dann durchgeführt werden, wenn es bei der Verarbeitung um besondere Arten personenbezogener Daten geht oder die Persönlichkeit der Person (inklusive seiner Fähigkeiten, seiner Leistung und seines Verhaltens) bewertet werden soll. Ein solcher Fall wäre bei einer Videoüberwachung gegeben.
Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)
Im Rahmen des Inkrafttretens der europäischen Datenschutzgrundverordnung (DSGVO) tritt die Datenschutz-Folgenabschätzung nach Artikel 35 an die Stelle der Vorabkontrolle. Die Fälle, in denen ein solches Datenschutz-Gutachten notwendig wird, decken sich im Großen und Ganzen mit denen des BDSG: Bewertung der Persönlichkeit durch die Datenverarbeitung sowie die Verwendung besonderer Arten von personenbezogenen Daten. Explizit genannt wird die umfangreiche Überwachung öffentlich zugänglicher Bereiche, also zum Beispiel durch eine Videoaufzeichnung.
Freiwilliges Datenschutz-Gutachten
Ein Datenschutz-Gutachten kann auch ohne Verpflichtung erstellt werden. Dies ist beispielsweise dann sinnvoll, wenn sichergestellt werden soll, dass die geltenden Datenschutzbestimmungen auch tatsächlich und vollständig eingehalten werden. Im Lichte der drohenden Sanktionen von bis zu 20 Mio. Euro, die die EU-Datenschutzgrundverordnung bei Zuwiderhandlung vorsieht, kann sich eine solche vorausschauende Investition in ein Datenschutz-Gutachten durchaus lohnen.
Auf der Grundlage der Prüfungsergebnisse lässt sich dann feststellen, was bereits umgesetzt ist und wo Handlungsbedarf besteht. Für die fehlenden Maßnahmen können ein Handlungsplan erstellt und die Prioritäten für die Umsetzung der einzelnen Punkte festgelegt werden. Das Datenschutz-Gutachten sorgt hier also dafür, dass die geltenden Regeln mit Gewissheit eingehalten werden.
Zertifizierung für den Datenschutz mittels Gutachten
Auch im Rahmen einer Zertifizierung kann ein solches Datenschutz-Gutachten durchgeführt werden. Dabei wird von externen Gutachtern das gesamte Unternehmen oder nur ein Teil daraufhin geprüft, ob der Datenschutz allen Regelungen entspricht. Je nach Zertifikat können die Kriterien verschieden streng oder unterschiedlich gewichtet sein.
Ein Zertifikat, das nach einem solchen Datenschutz-Gutachten ausgestellt wird, weist das betreffende Unternehmen als eines aus, dessen Verfahren der Datenverarbeitung von unabhängiger Seite geprüft worden sind. Den Kunden kann dies Vertrauen vermitteln – somit dient eine unabhängige Zertifizierung auch als Wettbewerbsvorteil.
Datenschutzaudit nach BDSG
Ein solches freiwilliges Datenschutz-Gutachten mit Zertifizierung wird auch ausdrücklich in § 9a Bundesdatenschutzgesetz (BDSG) vorgesehen und als Datenschutzaudit bezeichnet. Es heißt dort:
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.
Dieses Datenschutz-Gutachten erhält also dadurch, dass seine Gutachter unabhängig und zugelassen sein müssen, eine erhöhte Seriosität. Das Ergebnis eines erfolgreich durchlaufenen Audits kann als Zertifikat dienen und gibt somit auch den Kunden einen Anhaltspunkt für die Vertrauenswürdigkeit des Anbieters.
Ein Gesetz, das die näheren Bedingungen für den Datenschutzaudit festlegen sollte und auf das im BDSG verwiesen wird, kam allerdings nicht zustande.
Zertifizierung nach DSGVO
Auch die europäische Datenschutzgrundverordnung sieht einen freiwilligen Zertifizierungsprozess vor, der dem Nachweis dienen soll, dass ein Unternehmen datenschutzrechtlich alle Bedingungen erfüllt. Ein Datenschutz-Gutachten soll die Einhaltung aller Regelungen prüfen und anschließend ein Zertifikat ausstellen, das eine maximale Gültigkeit von drei Jahren hat.
Auch die DSGVO gibt keine konkrete Regelung dieses Prozesses, regt aber eine Vereinheitlichung in Richtung eines gemeinsamen europäischen Datenschutzsiegels an.
Was wird überprüft?
Was sind die Punkte, die bei einem Datenschutz-Gutachten geprüft werden? Was wird genau untersucht? Da es, wie oben gesehen, verschiedene Formen und Ziele von Gutachten gibt, lässt sich hier eine pauschale Antwort nicht geben. Einige grundlegende Prüfpunkte, die normalerweise berücksichtigt werden, sind beispielsweise folgende:
- Systemschreibung des oder der Verfahren
- Rechtsgrundlage der Datenverarbeitung
- Gefahrenanalyse
- Risikoanalyse
- Datensicherungskonzept
- Maßnahmenplan
Wenn das gesamte Unternehmen untersucht wird, muss im Datenschutz-Gutachten auch geprüft werden, ob grundlegende organisatorische und technische Maßnahmen getroffen worden sind. Unverzichtbar sind beispielsweise das Vorhandensein eines Datenschutzbeauftragten und auch die datenschutzkonforme Einweisung der Mitarbeiter.
Wer kann überprüfen?
Grundsätzlich kann jeder, der über die nötige Fachkenntnis verfügt, ein Datenschutz-Gutachten verfassen. Damit aber seine Qualität und Aussagekraft sichergestellt ist, kann es sinnvoll sein, einen anerkannten Gutachter zu beauftragen.
Ein Sachverständiger kann von der Aufsichtsbehörde offiziell anerkannt werden, wenn er über die nötige Fachkunde, Unabhängigkeit und Zuverlässigkeit verfügt. Dies wird sorgfältig geprüft und muss im Einzelnen nachgewiesen werden.
Erstellt ein solcher anerkannter Sachverständiger das Datenschutz-Gutachten, hat dieses nicht nur mehr Aussagekraft, sondern dient auch den Kunden als vertrauenswürdigerer Nachweis der Einhaltung des Datenschutzes. Zudem ist die Beauftragung eines solchen Gutachters auch Voraussetzung, wenn eine Zertifizierung erfolgen soll.
Laura meint
28. Januar 2024 at 17:06
Ich möchte ein Gutachten erstellen lassen. Schön zu wissen, dass man aber auch genügend Daten benötigt. Sonst ist dieses nicht aussagekräftig.